Как использовать генератор случайных паролей
Опубликовано: 2022-01-29Почти каждый веб-сайт, который вы посещаете, требует, чтобы вы создали учетную запись, будь то финансовые операции с высокой степенью безопасности или глупые игры с животными. Вы не можете просто использовать один и тот же пароль для всех из них, потому что тогда нарушение на любом одном сайте поставит под угрозу их все. И вы не можете легко запомнить разные пароли для каждого сайта. Единственное разумное решение — установить менеджер паролей и использовать его как для хранения, так и для улучшения ваших паролей. Каждый раз, когда вы заменяете слишком простой пароль длинным, надежным и случайным, вы повышаете общую безопасность. Но где вы берете эти длинные, надежные, случайные пароли?
Почти каждый менеджер паролей включает в себя компонент генератора паролей, поэтому вам не нужно придумывать эти случайные пароли самостоятельно. (Но если вам нужно решение «сделай сам», мы покажем вам, как создать собственный генератор случайных паролей). Однако не все генераторы паролей одинаковы. Когда вы знаете, как они работают, вы можете выбрать тот, который лучше всего подходит для вас, и разумно использовать тот, который у вас есть.
Генераторы паролей — случайные или нет?
Когда вы бросаете пару игральных костей, вы получаете действительно случайный результат. Никто не может предсказать, выпадет ли вам змеиный глаз, товарный вагон или счастливая семерка. Но в компьютерной сфере физические рандомизаторы, такие как игральные кости, недоступны. Да, есть несколько источников случайных чисел, основанных на радиоактивном распаде, но вы не найдете их в обычном менеджере паролей на стороне потребителя.
Менеджеры паролей и другие компьютерные программы используют так называемый псевдослучайный алгоритм. Этот алгоритм начинается с числа, называемого начальным числом. Алгоритм обрабатывает начальное число и получает новое число без прослеживаемой связи со старым, а новое число становится следующим начальным числом. Исходное семя никогда не появляется снова, пока не выпадут все остальные числа. Если бы начальным числом было 32-битное целое число, это означало бы, что алгоритм обработает 4 294 967 295 других чисел перед повторением.
Это подходит для повседневного использования и подходит для большинства людей, нуждающихся в создании паролей. Однако теоретически опытный хакер может определить используемый псевдослучайный алгоритм. Имея эту информацию и начальное число, хакер мог бы воспроизвести последовательность случайных чисел (хотя это было бы сложно).
Такой целенаправленный взлом чрезвычайно маловероятен, за исключением целенаправленной атаки на государство или корпоративного шпионажа. Если вы подверглись такой атаке, ваш пакет безопасности, вероятно, не сможет вас защитить. К счастью, вы почти наверняка не являетесь целью такого кибершпионажа.
Тем не менее, несколько менеджеров паролей активно работают над устранением даже отдаленной возможности такой целенаправленной атаки. Включив ваши собственные движения мыши или случайные символы в случайный алгоритм, они получают действительно случайный результат. Среди тех, кто предлагает эту реальную рандомизацию, — AceBIT Password Depot, KeePass и Steganos Password Manager. На приведенном выше снимке экрана показан матричный рандомизатор Password Depot; да, символы падают, когда вы двигаете мышью.
Вам действительно нужно добавить реальную рандомизацию? Возможно нет. Но если это делает вас счастливым, дерзайте!
Менеджеры паролей уменьшают случайность
Конечно, генераторы паролей не возвращают буквально случайные числа. Скорее, они возвращают строку символов, используя случайные числа для выбора из доступных наборов символов. Вы должны всегда разрешать использование всех доступных наборов символов, если только вы не создаете пароль для веб-сайта, который, скажем, не допускает использование специальных символов.
Пул доступных символов включает 26 прописных букв, 26 строчных букв и 10 цифр. Он также включает в себя набор специальных символов, которые могут варьироваться от продукта к продукту. Для простоты предположим, что доступно 18 специальных символов. Это делает хороший раунд из 80 символов на выбор. В совершенно случайном пароле есть 80 вариантов для каждого символа. Если вы выберете восьмизначный пароль, число возможных вариантов составит 80 в восьмой степени, или 1 677 721 600 000 000 — больше квадриллиона. Это тяжелая работа для взлома методом грубой силы, а угадывание методом грубой силы — действительно единственный способ взломать действительно случайный пароль.
Наш лучший выбор менеджера паролей
Посмотреть все (4 шт.)
Конечно, абсолютно случайный генератор в итоге выдаст "аааааааа" и "Ковфефе!" и «12345678», поскольку они так же вероятны, как и любая другая последовательность из восьми символов. Некоторые генераторы паролей активно фильтруют свои выходные данные, чтобы избежать таких паролей. Это хорошо, но если хакер знает об этих фильтрах, это на самом деле уменьшает количество возможностей и упрощает взлом методом грубой силы.
Вот крайний пример. Существует 40 960 000 возможных четырехсимвольных паролей, составленных из набора из 80 символов. Но некоторые генераторы паролей заставляют выбирать хотя бы по одному символу каждого типа, и это резко сокращает возможности. Есть еще 80 возможностей для первого персонажа. Предположим, это заглавная буква; пул для второго символа равен 54 (80 минус 26 символов верхнего регистра). Далее предположим, что второй символ — строчная буква. Для третьего символа остаются только цифры и специальные символы для 28 вариантов. И если третий символ пунктуации, то последний должен быть цифрой, 10 вариантов. Наши 40 миллионов возможностей сокращаются до 1 209 600.
Использование всех наборов символов является необходимостью для многих веб-сайтов. Чтобы избежать сокращения пула паролей из-за этого требования, установите большую длину пароля. Когда пароль достаточно длинный, эффект принудительного ввода всех типов символов становится незначительным.
Другие ограничения, применяемые менеджерами паролей, без необходимости сокращают пул возможных паролей. Например, RememBear Premium указывает точное количество символов из каждого набора из четырех символов, что резко сокращает пул. По умолчанию требуется две заглавные буквы, две цифры, 14 строчных букв и никаких символов, всего 18 символов. Это приводит к тому, что пул паролей в сотни миллионов раз меньше, чем если бы он просто требовал один или несколько символов каждого типа. Здесь снова вы можете компенсировать эту проблему, установив более высокую длину пароля.
LastPass и некоторые другие по умолчанию избегают неоднозначных пар символов, таких как цифра 0 и буква O. Если вам не нужно запоминать пароль, в этом нет необходимости; отключите эту опцию. Точно так же не выбирайте вариант создания произносимого пароля, такого как «bogafewazepa». Этот параметр важен только в том случае, если это пароль, который вы должны помнить. Применение этой опции не только ограничивает вас строчными буквами, но и отвергает огромное количество возможностей, которые генератор паролей считает непроизносимыми.
Рекомендовано нашими редакторами
Создавайте длинные пароли
Как мы видели, генераторы паролей не обязательно выбирают из пула всех возможных паролей, соответствующих длине и наборам символов, которые вы выбрали. В предельном примере четырехсимвольного пароля, использующего все наборы символов, около 97% возможных четырехсимвольных паролей никогда не появляются. Решение простое; иди долго! Вам не нужно запоминать эти пароли, поэтому они могут быть огромными. По крайней мере, такой огромный, как этот веб-сайт принимает; некоторые налагают ограничения.
Чем больше область поиска (то, что я называю пулом доступных паролей), тем больше времени потребуется для атаки грубой силы на ваш пароль. Вы можете поиграть с Калькулятором стога сена пароля (например, иголка в стоге сена) на веб-сайте Gibson Research, чтобы почувствовать значение длины.
Просто введите пароль, чтобы узнать, сколько времени займет его взлом. (Сайт обещает: «НИЧЕГО, что вы здесь делаете, никогда не выходит из вашего браузера. Что здесь происходит, остается здесь». Но следует соблюдать осторожность, чтобы не использовать свои настоящие пароли). Пароль из четырех символов, такой как 9kM$, может быть взломан не за один день, если хакеру придется посылать догадки онлайн. Но в автономном сценарии, когда хакер может делать предположения на высокой скорости, время взлома составляет доли секунды.
В моей статье о создании запоминающихся надежных паролей (для таких вещей, как мастер-пароль менеджера паролей) я предлагаю мнемоническую технику, которая преобразует строку из стихотворения или пьесы в случайный пароль. Например, строчка из «Ромео и Джульетты», Акт 2, Сцена 2, стала «bS,wLtYdWdB?A2S2». Это не случайный пароль, но взломщик этого не знает. Закинув его в калькулятор Гибсона, мы узнаем, что даже при использовании огромного массива для взлома потребуется 1,41 сотни миллионов столетий, чтобы взломать его.
Сделайте осознанный выбор менеджера паролей
Итак, теперь вы знаете, что наиболее важным фактором в создании надежных случайных паролей является их длина. Некоторые генераторы паролей отклоняют пароли, которые не содержат всех наборов символов, некоторые отклоняют пароли со встроенными словарными словами, некоторые отбрасывают пароли, содержащие неоднозначные символы, такие как маленькая буква l и цифра 1. Все эти ограничения ограничивают пул возможных паролей, но когда длина достаточно высок, это ограничение просто не имеет значения.
Конечно, теоретически (если не практически) возможно, что какой-то злоумышленник может взломать схему генерации паролей вашего любимого менеджера паролей и тем самым получить возможность предсказывать псевдослучайные пароли, которые он вам предложит. Подпольная программа управления паролями может отправить ваши случайные пароли обратно в штаб-квартиру компании. Это действительно на уровне паранойи из фольги. Но если вы действительно не хотите полагаться на кого-то еще для ваших случайных паролей, вы можете создать свой собственный генератор случайных паролей в Excel.